Diritto civile

Privacy: illecito trattamento dei dati personali nel settore bancario e risarcimento danni in favore del titolare (Cassazione civile sez. I, 13/01/2021, n. 368)

 

La Suprema Corte con la pronuncia in commento, in tema di trattamento dei dati personali, ha avuto modo di confermare che il D.Lgs. n. 196 del 2003 ha ad oggetto della tutela anche i dati già pubblici o pubblicati.

Colui che compie operazioni di trattamento di tali informazioni, infatti, dall’accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio di dati già pubblici o pubblicati può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell'interessato, ai sensi dell'art. 3 Cost., comma 1 e dell'art. 2 Cost., valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali (cfr. Cass., 25 giugno 2004, n. 11864).

Ed invero, nella gerarchia dei valori costituzionalmente tutelati, la dignità dell'interessato è ritenuta preminente rispetto all'iniziativa economica privata che, secondo l'art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana (cfr. Cass., 8 agosto 2013, n. 18981).

Come è noto, con specifico riferimento al trattamento dei dati, l’art. 11 del D.Lgs. n. 196 del 2003 prescrive che i dati personali, compresi quelli di natura soggettiva, come opinioni e valutazioni che rilevano soprattutto nel settore bancario (per la valutazione dell'affidabilità di chi richiede un prestito), o assicurativo, o nel mercato del lavoro, devono essere trattati in modo lecito e secondo correttezza, essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.

Di seguito il testo della sentenza de quo.

 

(omissis)

 

Fatto

RILEVATO

Che:

  1. Con ricorso D.Lgs. 30 giugno 2003, n. 206, ex art. 152, depositato il 15 luglio 2014, I.T., I.G., I.M., la PROD & PAN S.r.l., hanno convenuto in giudizio la CRIF S.p.a. chiedendo la cancellazione dei loro dati personali dal sistema di informazione creditizio e da ogni banca dati della CRIF S.p.a., oltre il risarcimento dei danni non patrimoniali subiti in ragione dell'illegittimo trattamento dei loro dati personali con riferimento alle specificate domande giudiziali e alle loro trascrizioni e la condanna, ex art. 614 bis c.p.c., per ogni giorno di ritardo nell'esecuzione della decisione.
  2. Il Tribunale, con la sentenza in questa sede impugnata, ha rigettato le domande attrici e condannato i ricorrenti al pagamento delle spese processuali, affermando che la CRIF S.p.a. aveva inserito nel proprio archivio dati conformi ed in linea con quelli risultanti dai pubblici registri; che i detti dati erano utilizzabili senza il consenso dell'interessato e che il termine di trentasei mesi per la conservazione dei dati non era riferibile alle informazioni provenienti da fonte pubblica.
  3. Avvero la superiore sentenza I.T., I.G., I.M. e la PROD & PAN S.r.l. hanno presentato ricorso per cassazione, fondato su due motivi.
  4. La CRIF S.p.a. ha depositato controricorso.
  5. Entrambe le parti hanno depositato memoria ex art. 380 bis.1 c.p.c..

Diritto

CONSIDERATO

Che:

1. In via preliminare vanno rigettate le eccezioni della carenza dell'interesse ad agire e del difetto di legittimazione ad agire sollevate dalla società convenuta nel controricorso.

Questa Corte ha precisato che la legitimatio ad causam, attiva e passiva, consiste nella titolarità del potere e del dovere di promuovere o subire un giudizio in ordine al rapporto sostanziale dedotto in causa, mediante la deduzione di fatti in astratto idonei a fondare il diritto azionato, secondo la prospettazione dell'attore; essa resta dunque ferma anche quando poi, in ipotesi, il diritto vantato contro quel convenuto non sussista per avere quello agito nel rispetto della legge (Cass. 10 gennaio 2008, n. 355). Nella specie, i ricorrenti in primo grado hanno convenuto in giudizio la CRIF S.p.a., imputando proprio ad essa la pubblicazione dei dati, censurando quindi una condotta propria della resistente e non anche di altri soggetti.

Sussiste anche l'interesse ad agire in capo ai ricorrenti, che consiste nell'esigenza di ottenere un risultato utile, giuridicamente apprezzabile e non conseguibile senza l'intervento del giudice, da accertare avendo riguardo all'azione proposta ed alle difese svolte dalla parte convenuta.

I ricorrenti hanno agito, infatti, oltre che per il risarcimento dei danni non patrimoniali, anche per la cancellazione dei loro dati personali dal sistema di informazione creditizio e da ogni banca dati della CRIF S.p.a., con ciò azionando un interesse personale, attuale al momento della proposizione della domanda e concreto in relazione al pregiudizio che hanno dedotto essersi verificato in loro danno.

2. Con il primo motivo i ricorrenti lamentano la violazione del D.Lgs. 30 giugno 2003, n. 196, art. 7 e art. 11, lett. d), perchè le trascrizioni in esame si riferivano a domande revocatorie concernenti esposizioni debitorie di un soggetto terzo, tale D.F., con la conseguenza che l'indicazione delle esposizioni debitorie di tale soggetto terzo nei rapporti e nei prodotti informativi della CRIF S.p.a. riguardanti loro non erano pertinenti e, in ogni caso, erano eccedenti rispetto alla specifica finalità perseguita che era quella di fornire informazioni sull'affidabilità e sulla puntualità dei pagamenti.

I ricorrenti, inoltre, deducono la violazione dell'art. 115 c.p.c. e censurano l'omesso l'esame dei fatti esposti e specificamente delle note di trascrizione pubblicate il 5 e il 10 novembre 2008 e dei relativi atti di citazione riguardanti le azioni revocatorie in cui il debitore era D.F., violando anche il disposto dell'art. 11, lett. d) del Codice della Privacy e dell'interpretazione che di tale norma aveva fornito la giurisprudenza di legittimità.

3. Con il secondo motivo i ricorrenti lamentano la violazione e falsa applicazione del D.Lgs. 30 giugno 2003, n. 196, art. 7, art. 11, lett. e) e dell'art. 6 del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati per i crediti al consumo, affidabilità e puntualità nei pagamenti - Allegato A 5 al D.Lgs. n. 196 del 2003, perchè la sentenza impugnata non aveva ritenuto applicabile il termine massimo di trentasei mesi per la conservazione dei dati in quanto non riferibile alle informazioni provenienti da fonte pubblica, non tenendo in considerazione che il Codice della Privacy tutela anche i dati già pubblici o pubblicati e la natura e funzione prevalente di informazione creditizia di detti dati, oltre che del fatto che, ove si ritenesse inapplicabile il termine di trentasei mesi, mancherebbe qualsiasi previsione di termine di conservazione per i dati pubblici inseriti nei Sistemi Informativi Creditizi.

3.1 Il primo motivo è fondato.

Questa Corte ha affermato che in tema di trattamento dei dati personali, il D.Lgs. n. 196 del 2003 (nella versione applicabile ratione temporis, anteriore alle modifiche apportate dal D.Lgs. 10 agosto 2018, n. 101) ha ad oggetto della tutela anche i dati già pubblici o pubblicati, poichè colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell'interessato (ai sensi dell'art. 3 Cost., comma 1 e dell'art. 2 Cost.), valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali (Cass., 25 giugno 2004, n. 11864).

Ed invero, nella gerarchia dei valori costituzionalmente tutelati la dignità dell'interessato è ritenuta preminente rispetto all'iniziativa economica privata che, secondo l'art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana (Cass., 8 agosto 2013, n. 18981).

3.2 Con specifico riferimento al trattamento dei dati, del D.Lgs. n. 196 del 2003, art. 11, prescrive che i dati personali (compresi quelli di natura soggettiva, come opinioni e valutazioni che rilevano soprattutto nel settore bancario, per la valutazione dell'affidabilità di chi richiede un prestito, o assicurativo o nel mercato del lavoro) devono essere trattati in modo lecito e secondo correttezza, essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.

3.3 La sentenza impugnata non ha fatto buon governo dei principi esposti, limitandosi ad evidenziare che la CRIF S.p.a. aveva inserito nel proprio archivio dati conformi e in linea con quelli risultanti dai pubblici registri e omettendo del tutto l'indagine sulle finalità del trattamento e, quindi, sulla pertinenza e non eccedenza di quest'ultimo rispetto alle prime.

Nè appare rilevante, al fine di stabilire la pertinenza e la non eccedenza del trattamento dei dati, l'affermazione del Tribunale di Bologna che la CRIF S.p.a. non aveva elaborati i dati, nè li aveva valutati nel merito.

Il giudice di merito doveva, quindi, correttamente accertare se l'informazione che riguardava i ricorrenti fosse stata trattata in modo non pertinente e in modo eccedente rispetto alla finalità perseguita dalla CRIF S.p.a..

4. In ragione dell'accoglimento del primo motivo di ricorso deve ritenersi assorbito il secondo motivo.

5. In conclusione la decisione impugnata va cassata con rinvio al Tribunale di Bologna in diversa composizione per il riesame e la liquidazione delle spese di legittimità.

P.Q.M.

La Corte accoglie il primo motivo di ricorso e, assorbito il secondo, cassa la sentenza impugnata in relazione al motivo accolto e rinvia al Tribunale di Bologna, in diversa composizione, anche per le spese di legittimità.

Così deciso in Roma, nella Camera di consiglio, il 16 settembre 2020.

Depositato in Cancelleria il 13 gennaio 2021

* * * * *

Sentenza tratta dalla Banca Dati Dejure-Giuffrè Francis Lefebvre che si ringrazia per la gentile disponibilità.

Avv. Jacopo Alberghi